Gitea’da Kritik Güvenlik Açığı Aktif Olarak Sömürülüyor: Tek Bir Başlıkla Hesap Ele Geçirme Siber Güvenlik

Gitea’da Kritik Güvenlik Açığı Aktif Olarak Sömürülüyor: Tek Bir Başlıkla Hesap Ele Geçirme

Gitea Docker imajlarında kritik bir güvenlik açığı (CVE-2026-20896) aktif olarak sömürülüyor. Saldırganlar, yalnızca geçerli bir kullanıcı adı içeren ...

Siber güvenlik araştırmacıları, açık kaynak kodlu Git sunucusu Gitea’nın ters proxy kimlik doğrulama mekanizmasındaki kritik bir güvenlik açığının aktif olarak sömürüldüğü konusunda uyarıyor. CVE-2026-20896 olarak izlenen ve 9.8 CVSS puanına sahip bu açık, özellikle Gitea’nın resmi Docker imajlarını etkiliyor. Sysdig Tehdit Araştırmaları Kıdemli Direktörü Michael Clark, açığın yalnızca tek bir HTTP başlığı gönderilerek istismar edilebildiğini belirtiyor. Güvenlik araştırmacısı Ali Mustafa’nın keşfettiği sorun, Gitea Docker imajlarının 1.26.3 öncesi sürümlerinde varsayılan ayarların, bir izin listesi uygulamak yerine herhangi bir kaynak IP adresinden bağlantıya izin vermesinden kaynaklanıyor.

Açığın temelinde, Gitea’nın ters proxy arkasında çalışırken yalnızca proxy tarafından ayarlanan başlığa güvenmesi gerektiği halde, bunu yapmaması yatıyor. Ters proxy kimlik doğrulaması etkinleştirildiğinde, Gitea yalnızca proxy tarafından eklenen başlığı dikkate almalıdır. Ancak bu güvenlik açığı sayesinde, geçerli bir kullanıcı adını başlıkta gönderebilen herkes, kimlik doğrulamayı atlayarak savunmasız bir örneğe bağlanabiliyor. Araştırmacı, 'Gitea konteynerinin HTTP portuna doğrudan, yani amaçlanan kimlik doğrulama proxy'si üzerinden değil de erişebilen herhangi bir süreç, oturum açma adı bilinen veya tahmin edilebilen herhangi bir kullanıcının kimliğine bürünebilir. Yönetici hesapları bariz hedeflerdir,' diye uyarıyor. Gitea 1.26.3/1.26.4 sürümleriyle birlikte gelen yama, ters proxy kimlik doğrulamasını isteğe bağlı bir özellik haline getiriyor.

Clark'a göre, CVE-2026-20896'nın sömürülmesi, açığın kamuya duyurulmasından 13 gün sonra başladı. İlk saldırı girişimi, 'erişim sağlayan bir VPN çıkış tarayıcısı' ile ilişkilendirildi. Clark, 'Şifre yok. Token yok. Tek bir başlık. Sysdig sensörleri, duyurudan 13 gün sonra ilk gerçek dünya saldırısını yakaladı,' diye ekliyor. Sysdig araştırması, internete açık yaklaşık 6.200 Gitea örneğini tespit etmiş olsa da, bunlardan kaçının savunmasız olduğu bilinmiyor. Uzmanlar, kullanıcıları Gitea dağıtımlarını mümkün olan en kısa sürede güncellemeye çağırıyor, çünkü açığın başarılı bir şekilde sömürülmesi, Gitea'nın barındırdığı tüm kodların ve sırların tamamen ele geçirilmesine yol açabilir.

Clark, 'Bir Gitea kullanıcısı, özel olanlar da dahil olmak üzere depolarını okuyabilir ve yazabilir: gönderdikleri kod, geliştiricilerin kazara işlediği sırlar (API anahtarları, veritabanı kimlik bilgileri, dağıtım tokenları), CI/CD yapılandırmaları ve dağıtım anahtarları,' diyerek potansiyel riskin boyutunu vurguluyor. Başarılı bir istismar, bir kuruluşun tüm yazılım tedarik zincirinin tehlikeye girmesi anlamına gelebilir. Kullanıcıların, Gitea örneklerini derhal 1.26.3 veya üzeri bir sürüme güncellemeleri ve ters proxy kimlik doğrulamasını yalnızca gerekli olduğunda ve doğru yapılandırıldığında etkinleştirmeleri öneriliyor.

Paylaş: